Об утверждении Правил интеграции с государственным сервисом контроля доступа к персональным данным

Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 8 июля 2022 года № 236/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 13 июля 2022 года № 28786.

Действующий

      В соответствии с подпунктом 7-4) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила интеграции с государственным сервисом контроля доступа к персональным данным.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Исполняющий обязанности
Министра цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Ж. Мадиев

      "СОГЛАСОВАН"
Министерство юстиции
Республики Казахстан

      "СОГЛАСОВАН"
Министерство образования и науки
Республики Казахстан

      "СОГЛАСОВАН"
Министерство здравоохранения
Республики Казахстан

      "СОГЛАСОВАН"
Министерство труда
и социальной защиты населения
Республики Казахстан

      "СОГЛАСОВАН"
Министерство финансов
Республики Казахстан

  Утверждены приказом
исполняющего обязанности
Министра цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
от 8 июля 2022 года № 236/НҚ

Правила интеграции с государственным сервисом контроля доступа к персональным данным

Глава 1. Общие положения

      1. Настоящие Правила интеграции с государственным сервисом контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-4) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок интеграции с государственным сервисом контроля доступа к персональным данным.

      2. В настоящих Правилах используются следующие основные понятия:

      1) инициатор – информационная система, инициирующая запрос на доступ к персональным данным;

      2) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      3) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      4) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные.

      5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      6) токен безопасности – электронный ключ в виде набора определенного количества цифр и букв в формате JWT, предназначенный для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца;

      7) шлюз "электронного правительства" (далее – ШЭП) – информационная система, предназначенная для интеграции объектов информатизации "электронного правительства" с иными объектами информатизации.

      3. Собственники и (или) операторы, третьи лица в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивают интеграцию собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.

Глава 2. Порядок интеграции с государственным сервисом контроля доступа к персональным данным

      4. Для интеграции с государственным сервисом подается заявка на платформе "Smart Bridge" (далее – платформа).

      5. Заявка подается на сервис контроля доступа к персональным данным.

      6. Заполнение заявки на платформе осуществляется в соответствии с инструкциями платформы по подключению.

      7. При подаче заявки указывается один из следующих способов отправки запроса на доступ к персональным данным, включая получение от субъекта согласия (отказ) на сбор, обработку персональных данных или их передачу третьим лицам:

      1) запрос/ответ через Единый контакт-центр "1414" – данный способ доступен инициаторам и (или) операторам;

      2) запрос/ответ средствами инициатора и (или) оператора – данный способ доступен инициаторам и операторам, не являющимся государственным органом и (или) государственным юридическим лицом, информационные системы которых соответствуют единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832, имеют акт испытаний на соответствие требованиям информационной безопасности, выданный уполномоченным государственным органом (далее – акт испытаний), в соответствии с подпунктом 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации".

      8. При выборе способа запрос/ответ средствами инициатора и (или) оператора в заявке на интеграцию с государственным сервисом прилагается акт испытаний.

      9. Сроки и порядок рассмотрения уполномоченным органом заявки на интеграцию с государственным сервисом составляет не более 10 (десяти) рабочих дней.

      10. После положительного рассмотрения заявки на интеграцию с государственным сервисом инициатор и (или) оператор:

      1) скачивает актуальную версию технической документации, содержащую описание процесса функционирования указанных на странице платформы, с примерами запросов и ответов государственного сервиса;

      2) при выборе способа запрос/ответ средствами инициатора и (или) оператора передают контактному лицу, указанному на странице платформы государственного сервиса открытую часть ключа электронной цифровой подписи организации, инициирующей запрос на доступ к персональным данным.

      11. В тестовой среде ШЭП и государственного сервиса оператор проводит десять успешных ответов с токеном безопасности, сформировав акт тестирования, прикладывает его к заявке на платформе.

      12. После рассмотрения акта тестирования производится интеграция в продуктивной среде ШЭП и государственного сервиса, в соответствии с Правилами интеграции объектов информатизации "электронного правительства", утвержденными приказом исполняющим обязанности Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 16777).